Организация безопасного шлюза в офисе, выбор оборудования

Есть маленькая, но очень гордая компания. Есть несколько удаленных филиалов в России и Украине. Имеется цель создать безопасный шлюз с доступом в интернет, который со временем обрастет VPN сервером для обмена данными между филиалами. Размер сети в головном офисе — пока что ~15 пк, возможен рост до ~50. В филиалах будет максимум до ~20 рабочих мест, сейчас ~10.
Пока что в головном офисе (да и в остальных тоже) интернетом заведует обычный SOHO роутер, который конечно же не является прекрасным решением. Хочу сделать нормальный шлюз + прокси+openvpn сервер. Потому вопрос, как рассчитать нагрузку для выбора железа?
В плане вариантов решения — либо поставить железку от микротика (рассматриваю вариант RB711GA-5HnD), либо использовать вариант с linux машиной, где поднимается squid+iptables/ipfw+openvpn (опять таки, с точки зрения безопасности — стоит ли это всё делать на одной физической машине?). Опыт работы с линуксом и микротиком есть, с прокси и iptables — тоже есть, но меньше. Пока что нравится вариант с микротиком из -за его компактности и потребления, а также более удобного управления, как по мне.
Подскажите, какие видите плюсы/минусы данных решений, или может своей виденье решения проблемы? а также что выбрать по железу?
  • Вопрос задан
  • 7816 просмотров
Пригласить эксперта
Ответы на вопрос 6
@BAV_Lug
Только начал читать Ваш вопрос и сразу в голову пришло — микротик. Так, что однозначно он. Только вот у Вас что все клиенты будут на вафле? У той модели, что Вы выбрали, только один лан. Я бы посмотрел другую модель, например RB751U-2HnD.
Ответ написан
nochkin
@nochkin
Этот Mikrotik RB711GA-5HnD довольно слабый для VPN и он там будет очень грустно крутиться. Для VPN лучше либо специализированное железо, либо что-то помощнее.
Можно, конечно, оставить этот Mikrotik, а VPN сделать в виде отдельного сервера, но я не уверен что Mikrotik потянет такое количество ПК с полной нагрузкой.

Если критично что-то очень маленькое близкое размером с MikroTik, то можно попробовать нечто на Intel Atom или даже VIA C7 (на C7 есть Padlock, который поможет для OpenVPN).
Если свобода на размер немного есть, то я бы поставил что-то на i5 на Mini-ITX.

Если, все-таки, VPN не критичен, а клиенты не качают тяжелые торренты или типа такого, то тогда те Mikrotik'и подойдут.
Ответ написан
@rinx
Берите нормальный сервер и ставьте шлюз на основе PfSence. Просто шикарные вещи на нём можно строить. Весь нужный функционал там есть. Есть возможность настроить VPN IpSec, можно поставить Squid в качестве пакета, настроить балансировку каналов или работу с резевным каналом. В сети информации много. Но решение просто шикарное!
Ответ написан
2zaits
@2zaits
Мой опыт pfsence.
Сейчас есть сетап на PIII :)
Работает офис порядка 100 пользователей.
VPN тунели с филиалами IPSec для удаленный сотрудников openVPN
Для wifi captive портал.

Причем pfsence умеет Ldap или Radius если вам вдруг надо.
До этого сетапа жили на ms isa server.
Ответ написан
Diam0n
@Diam0n
поставил в офисе (20+ машин) FreeBSD +ipfw + openvpn
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы